16 апреля 2018 года

Специалисты компании «Доктор Веб» исследовали нового троянца-энкодера. Из-за ошибки вирусописателей восстановление поврежденных этим шифровальщиком файлов в большинстве случаев невозможно.

Новый троянец-шифровальщик получил наименование Trojan.Encoder.25129. Превентивной защитой Антивируса Dr.Web этот троянец автоматически детектируется под именем DPH:Trojan.Encoder.9. После запуска он проверяет географическое расположение пользователя по IP-адресу инфицированного устройства. По задумке злоумышленников, троянец не шифрует файлы, если IP-адрес расположен в России, Беларуси или Казахстане, а также если в настройках операционной системы установлены русский язык и российские региональные параметры. Однако из-за ошибки в коде энкодер шифрует файлы вне зависимости от географической принадлежности IP-адреса.

Trojan.Encoder.25129 шифрует содержимое папок текущего пользователя, Рабочего стола Windows, а также служебных папок AppData и LocalAppData. Шифрование осуществляется с использованием алгоритмов AES-256-CBC, зашифрованным файлам присваивается расширение .tron. Не шифруются файлы размером более 30000000 байт (примерно 28.6 МБ). После завершения шифрования троянец создает файл %ProgramData%\\trig и записывает в него значение «123» (если такой файл уже существует, шифрование не выполняется). Затем энкодер отправляет запрос на сайт iplogger, адрес которого зашит в его теле. После этого вредоносная программа показывает окно с требованиями выкупа.

Размер требуемого злоумышленниками выкупа варьируется от 0,007305 до 0,04 Btc. По нажатию на кнопку HOW TO BUY BITCOIN троянец демонстрирует окно с инструкциями по покупке криптовалюты Bitcoin:

Несмотря на то, что в тексте требований злоумышленники уверяют своих жертв, что они смогут восстановить зашифрованные файлы, из-за допущенной в коде троянца ошибки это в большинстве случаев невозможно.

Пользователи Dr.Web защищены от действий этого шифровальщика, поскольку он успешно детектируется и удаляется превентивной защитой наших антивирусных продуктов. Тем не менее, специалисты компании «Доктор Веб» напоминают о необходимости своевременного резервного копирования всей важной информации.

Подробнее о троянце

16 апреля 2018 года

Вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play троянца Android.Click.245.origin, который по команде злоумышленников загружает сайты, где пользователей обманом подписывают на платные контент-услуги. В некоторых случаях оформление подписок выполняется автоматически после нажатия мошеннической кнопки для «скачивания» программ.

Злоумышленники распространяли Android.Click.245.origin от лица разработчика Roman Zencov и маскировали троянца под известные приложения. Среди них – еще не вышедшая на платформе Android игра Miraculous Ladybug & Cat Noir, нашумевшая в начале весны программа GetContact для звонков и работы с телефонными контактами, а также голосовой помощник Алиса, который встроен в приложения от компании «Яндекс» и как отдельное ПО пока недоступен. Одна из троянских программ входила в тридцатку наиболее популярных новинок каталога Google Play.

Специалисты «Доктор Веб» уведомили корпорацию Google об Android.Click.245.origin, после чего он был удален из каталога. В общей сложности приложения-подделки успели установить свыше 20 000 пользователей. У всех этих программ нет никаких полезных функций. Их основная задача – загрузка веб-страниц по команде злоумышленников.

После запуска Android.Click.245.origin соединяется с управляющим сервером и ожидает от него задания. В зависимости от IP-адреса подключенного к сети зараженного устройства троянец получает ссылку на определенный сайт, который необходимо загрузить. Вредоносная программа переходит по полученной ссылке и с использованием WebView отображает нужную киберпреступникам страницу. Если мобильное устройство подключено к Интернету через Wi-Fi, пользователю предлагается установить интересующее приложение, нажав на соответствующую кнопку. Например, если жертва запускала программу-подделку голосового помощника Алиса, для «скачивания» может быть подготовлен файл под названием «Alice Yandex.apk».

При попытке загрузки указанного файла у владельца мобильного устройства запрашивается номер мобильного телефона для некоей авторизации или подтверждения скачивания. После ввода номера пользователю отправляется проверочный код, который необходимо указать на сайте для завершения «загрузки». Однако никаких программ после этого жертва не получает – вместо этого она подписывается на платную услугу.

Если же зараженное устройство подключено к Интернету через мобильное соединение, загружаемый троянцем сайт выполняет несколько перенаправлений, после чего Android.Click.245.origin открывает конечный адрес в браузере Google Chrome. На загружаемой странице для скачивания некоего файла пользователю предлагается нажать на кнопку «Продолжить», после чего он перенаправляется на другой сайт, с которого якобы и происходит загрузка. После нажатия на кнопку «Начать загрузку» жертва с использованием технологии Wap-Click автоматически подписывается на одну из дорогостоящих услуг, за использование которой каждый день будет взиматься плата. При этом доступ к таким сервисам предоставляется без предварительного ввода номера телефона и кодов подтверждения из СМС.

Если троянец не получил никакого задания, он показывает на экране несколько изображений, которые загружаются из Интернета.

Подключение ненужных контент-услуг – один из самых распространенных и давно известных способов незаконного заработка злоумышленников. Однако оформление таких премиум-подписок через сервис Wap-Click представляет особую опасность, т. к. фактически происходит без какого-либо явного информирования абонентов и часто используется недобросовестными контент-провайдерами.

Чтобы избежать потери денег, владельцам смартфонов и планшетов следует внимательно относиться ко всем посещаемым веб-сайтам и не нажимать на расположенные на них подозрительные ссылки и кнопки. Кроме того, необходимо устанавливать программы только от известных и проверенных разработчиков и пользоваться антивирусом.

Для борьбы с мошенническими подписками всем российским абонентам сотовых сетей рекомендуется активировать Контентный счет. Эта услуга предоставляется бесплатно после обращения в службу поддержки или офис обслуживания мобильных операторов. Согласно поправкам в федеральный закон N 126-ФЗ «О связи», контентный счет – это отдельный счет абонента, предназначенный специально для работы с премиум-услугами. После его подключения все списания для оплаты дорогостоящих подписок от сторонних поставщиков происходят только с него.

Антивирусные продукты Dr.Web для Android успешно детектируют и удаляют все известные модификации Android.Click.245.origin, поэтому для наших пользователей этот троянец не опасен.

Подробнее о троянце

5 апреля 2018 года

Вирусные аналитики компании «Доктор Веб» зафиксировали распространение троянца Android.BankBot.358.origin, который нацелен на клиентов Сбербанка. Эта вредоносная программа крадет информацию о банковских картах, выводит деньги со счетов, а также блокирует зараженные устройства и требует выкуп. Ущерб, который может нанести Android.BankBot.358.origin, превышает 78 000 000 рублей.

Android.BankBot.358.origin известен компании «Доктор Веб» с конца 2015 года. Вирусные аналитики установили, что новые модификации троянца Android.BankBot.358.origin предназначены для атаки на российских клиентов Сбербанка и заразили уже более 60 000 мобильных устройств. Однако, поскольку вирусописатели распространяют множество различных версий этого вредоносного приложения, число пострадавших может значительно увеличиться. Суммарный объем средств, которые злоумышленники способны украсть с банковских счетов владельцев зараженных устройств, превышает 78 000 000 рублей. Кроме того, киберпреступники могут похитить более 2 700 000 рублей со счетов мобильных телефонов.

На следующих изображениях показаны разделы панели администрирования Android.BankBot.358.origin с информацией о зараженных устройствах и статистикой по одной из обнаруженных бот-сетей:

Этот банковский троянец распространяется при помощи мошеннических СМС, которые могут рассылать как киберпреступники, так и сама вредоносная программа. Чаще всего сообщения отправляются от имени пользователей сервиса Avito.ru. В таких СМС потенциальной жертве предлагается перейти по ссылке – якобы чтобы ознакомиться с ответом на объявление. Например, популярен текст: «Добрый день, обмен интересен?». Кроме того, иногда владельцы мобильных устройств получают поддельные уведомления о кредитах, мобильных переводах и зачислениях денег на счет в банке. Ниже показаны примеры фишинговых сообщений, которые задаются в панели администрирования управляющего сервера троянца и рассылаются по команде вирусописателей:

При переходе по ссылке из такого сообщения жертва попадает на принадлежащий злоумышленникам сайт, откуда на мобильное устройство скачивается apk-файл вредоносного приложения. Для большей убедительности вирусописатели используют в Android.BankBot.358.origin значок настоящей программы Avito, поэтому вероятность успешной установки троянца после его загрузки увеличивается. Некоторые модификации банкера могут распространяться под видом других программ – например, ПО для работы с платежными системами Visa и Western Union.

При первом запуске Android.BankBot.358.origin запрашивает доступ к правам администратора устройства и делает это до тех пор, пока пользователь не согласится предоставить ему необходимые полномочия. После получения нужных привилегий троянец показывает ложное сообщение об ошибке установки и удаляет свой значок из списка программ на главном экране. Так Android.BankBot.358.origin пытается скрыть свое присутствие на смартфоне или планшете. Если же в дальнейшем пользователь пытается удалить банкера из списка администраторов, Android.BankBot.358.origin активирует функцию самозащиты и закрывает соответствующее окно системных настроек. При этом некоторые версии троянца дополнительно устанавливают собственный PIN-код разблокировки экрана.

После инфицирования устройства Android.BankBot.358.origin соединяется с управляющим сервером, сообщает ему об успешном заражении и ожидает дальнейших указаний. Главная цель троянца – похищение денег у русскоязычных клиентов Сбербанка, при этом основным вектором атаки является фишинг. Злоумышленники отправляют троянцу команду на блокирование зараженного устройства окном с мошенническим сообщением. Оно имитирует внешний вид системы дистанционного банковского обслуживания Сбербанк Онлайн и отображается для всех пользователей независимо от того, являются ли они клиентами Сбербанка или другой кредитной организации. В этом сообщении говорится о якобы поступившем денежном переводе в размере 10 000 рублей. Для получения средств владельцу смартфона или планшета предлагается указать полную информацию о банковской карте: ее номер, имя держателя, дату окончания действия, а также секретный код CVV. При этом без ввода требуемых данных мошенническое окно невозможно закрыть, и устройство остается заблокированным. В результате пользователь вынужден подтвердить «зачисление средств», после чего информация о карте передается злоумышленникам, и они могут беспрепятственно украсть все деньги с банковского счета жертвы.

Однако на момент публикации этого материала существующие модификации троянца не выполняют полную проверку сведений о банковских картах, и после ввода любых данных снимают блокировку. В результате пострадавшие от Android.BankBot.358.origin владельцы мобильных устройств могут избавиться от фишингового окна и воспользоваться антивирусом, чтобы удалить вредоносную программу. Для этого в мошенническую форму необходимо ввести произвольный номер карты, который состоит из 16 или 18 цифр, а также указать любой срок ее действия в диапазоне от 2017 до 2030 года включительно. При этом ни в коем случае нельзя вводить информацию о настоящей карте Сбербанка или другой кредитной организации, т. к. злоумышленники получат к ней полный доступ.

Тем не менее, ничто не мешает вирусописателям отдать команду на повторную блокировку смартфона или планшета после обнаружения обмана. Поэтому после того как фишинговое окно будет закрыто, необходимо как можно скорее проверить устройство антивирусом и удалить троянца с мобильного устройства: https://download.drweb.kz/android/

Если у пользователя подключена услуга Мобильный банк, Android.BankBot.358.origin с ее помощью пытается украсть деньги со счета жертвы. Вредоносная программа незаметно отправляет СМС с командами для выполнения операций в системе онлайн-банкинга. Троянец проверяет текущий баланс карты пользователя и автоматически переводит средства либо на банковский счет злоумышленников, либо на счет их мобильного телефона. Пример того, как Android.BankBot.358.origin похищает деньги через сервис дистанционного банковского обслуживания, показан на следующей иллюстрации:

Для получения дополнительного дохода некоторые версии Android.BankBot.358.origin могут заблокировать зараженное устройство сообщением с требованием оплаты штрафа за просмотр запрещенных видео. Кроме того, чтобы скрыть вредоносную активность (например, поступление подозрительных СМС), различные модификации троянца способны также блокировать экран зараженного смартфона или планшета уведомлением об установке некоего системного обновления.

Вирусописатели могут настраивать параметры окон блокировки в панели администрирования управляющего сервера. Например, задавать текст выводимых сообщений, продолжительность их отображения, а также требуемую сумму выкупа. Ниже представлены примеры соответствующих разделов панели управления:

Наряду с кражей денег и блокировкой зараженных устройств Android.BankBot.358.origin способен выполнять и другие вредоносные действия. Получая команды от злоумышленников, троянец может:

• загружать собственные обновления;
• рассылать СМС-сообщения по всем номерам из телефонной книги;
• рассылать СМС-сообщения по указанным в командах номерам;
• загружать заданные киберпреступниками веб-сайты;
• отправлять на сервер хранящиеся на устройстве СМС-сообщения;
• получать информацию о контактах из телефонной книги;
• создавать поддельные входящие СМС-сообщения.

Антивирусные продукты Dr.Web для Android успешно детектируют и удаляют все известные модификации Android.BankBot.358.origin, поэтому для наших пользователей троянец опасности не представляет. Специалисты «Доктор Веб» передали информацию о троянце в Сбербанк и продолжают наблюдать за развитием ситуации.

Официальная позиция Сбербанка

Подробнее о троянце

#Android #банкер #мобильный #вымогательство #банковский_троянец

Скачайте Dr.Web Security Space для Android по QR-коду

23 марта 2018 года

Компания «Доктор Веб» предупреждает о распространении опасного троянца, похищающего с зараженного устройства файлы и другую конфиденциальную информацию. Утечка этих данных может привести к тому, что злоумышленники получат доступ к учетным записям жертвы в социальных сетях и других онлайн-сервисах.

Вредоносная программа, получившая наименование Trojan.PWS.Stealer.23012, написана на языке Python и заражает компьютеры под управлением Microsoft Windows. Распространение троянца началось в районе 11 марта 2018 и продолжается по сегодняшний день. Злоумышленники публикуют ссылки на вредоносную программу в комментариях к видеороликам на популярном интернет-ресурсе YouTube. Многие из таких роликов посвящены использованию жульнических методов прохождения игр (так называемым «читам») с применением специальных приложений. Киберпреступники пытаются выдать троянца за такие программы и другие полезные утилиты. Ссылки ведут на серверы Яндекс.Диск. Чтобы убедить посетителя сайта нажать на ссылку, на страничках роликов публикуются комментарии, явно написанные из-под поддельных аккаунтов. При попытке перейти по такой ссылке потенциальная жертва загружает на свой компьютер самораспаковывающийся RAR-архив, который содержит троянца.

Запустившись на инфицированном компьютере, троянец собирает следующую информацию:

• файлы Cookies браузеров Vivaldi, Chrome, Яндекс.Браузер, Opera, Kometa, Orbitum, Dragon, Amigo, Torch;
• сохраненные логины/пароли из этих же браузеров;
• снимок экрана.

Также он копирует с Рабочего стола Windows файлы с расширениями ".txt", ".pdf", ".jpg", ".png", ".xls", ".doc", ".docx", ".sqlite", ".db", ".sqlite3", ".bak", ".sql", ".xml".

Все полученные данные Trojan.PWS.Stealer.23012 сохраняет в папке C:/PG148892HQ8. Затем он упаковывает их в архив spam.zip, который вместе с информацией о расположении зараженного устройства отправляется на сервер злоумышленников.

Вирусные аналитики компании «Доктор Веб» обнаружили несколько образцов этого троянца. Часть из них детектируется под именем Trojan.PWS.Stealer.23198. Все известные модификации этой вредоносной программы успешно определяются антивирусом Dr.Web, поэтому не представляют опасности для наших пользователей.

Подробнее о троянце

20 марта 2018 года

Компания «Доктор Веб» обнаружила троянца Android.BankBot.149.origin еще в январе 2016 года. После того как злоумышленники опубликовали исходный код этого банкера, вирусописатели создали на его основе множество новых модификаций, которые активно развиваются и по сей день. Некоторые из них превратились в многофункциональные вредоносные программы, способные красть логины и пароли от приложений для работы с криптовалютами, а также шпионить за пользователями.

На момент своего появления Android.BankBot.149.origin был банковским троянцем с типичным набором функций. Он показывал фишинговые окна, с помощью которых крал логины и пароли от учетных записей систем онлайн-банкинга различных кредитных организаций, похищал информацию о банковских картах, а также мог перехватывать входящие СМС, чтобы получить доступ к одноразовым паролям для подтверждения денежных переводов. Когда исходный код этого вредоносного приложения стал доступен всем желающим, вирусописатели начали создавать на его основе множество похожих троянцев. При этом злоумышленники активно распространяли их через каталог Google Play. Среди таких банкеров были Android.BankBot.179.origin, Android.BankBot.160.origin, Android.BankBot.163.origin, Android.BankBot.193.origin и Android.Banker.202.origin, которых вирусописатели маскировали под безобидные и полезные приложения.

Еще один троянец, при создании которого киберпреступники использовали опубликованный ранее код, был добавлен в вирусную базу Dr.Web как Android.BankBot.250.origin. Он также известен под именем Anubis. Вирусные аналитики «Доктор Веб» обнаружили первые версии этой вредоносной программы в ноябре 2017 года. Указанные модификации троянца практически полностью копировали возможности Android.BankBot.149.origin. Банкер мог выполнять следующие действия:

• отправлять СМС с заданным текстом на указанный в команде номер;
• выполнять USSD-запросы;
• отсылать на управляющий сервер копии хранящихся на устройстве СМС;
• получать информацию об установленных приложениях;
• показывать диалоговые окна с заданным в команде текстом;
• запрашивать дополнительные разрешения для работы;
• демонстрировать push-уведомления, содержимое которых указывалось в команде;
• показывать push-уведомление, содержимое которого задано в коде троянца;
• блокировать экран устройства окном WebView, в котором демонстрировалось содержимое полученной от сервера веб-страницы;
• передавать на сервер все номера из телефонной книги;
• рассылать СМС по всем номерам из телефонной книги;
• получать доступ к информации об устройстве и его местоположению;
• запрашивать доступ к функциям специальных возможностей (Accessibility Service);
• узнавать IP-адрес зараженного смартфона или планшета;
• очищать свой конфигурационный файл и останавливать собственную работу.

На иллюстрациях ниже показан пример панели управления одной из первых версий троянца Android.BankBot.250.origin:

Однако по мере выпуска обновлений Android.BankBot.250.origin его функционал постепенно расширялся. В одной из новых модификаций троянца, получившей имя Android.BankBot.325.origin, появилась возможность дистанционного доступа к зараженным устройствам. В результате банкер мог работать как утилита удаленного администрирования или RAT (Remote Administration Tool). Одной из его новых функций стал просмотр списка файлов, которые хранились в памяти зараженных смартфонов или планшетов, загрузка любого из них на управляющий сервер, а также их удаление. Кроме того, троянец мог отслеживать все, что происходило на экране, делая скриншоты и отправляя их злоумышленникам. Помимо этого по команде вирусописателей Android.BankBot.325.origin прослушивал окружение при помощи встроенного в устройство микрофона. Поэтому он мог применяться и для кибершпионажа. На следующих изображениях показан раздел панели администрирования управляющего сервера троянца, где злоумышленники могли отдать троянцу соответствующую команду:

При этом анализ банкера показал, что вирусописатели используют в названиях методов, а также в командах управления аббревиатуру «VNC», которая расшифровывается как Virtual Network Computing и относится к системе удаленного доступа к рабочему столу. Однако в троянце Android.BankBot.325.origin она никак не реализована, и злоумышленники лишь используют ее название для собственного удобства. Тем не менее, можно сделать вывод, что киберпреступники начали разрабатывать возможность удаленного управления экраном зараженных устройств и превращать банкера в более универсальное вредоносное приложение. Ниже показан фрагмент кода Android.BankBot.325.origin, где используется указанная аббревиатура:

Одна из последних модификаций Android.BankBot.325.origin, которую исследовали вирусные аналитики «Доктор Веб», получила еще больше функций. В список возможностей банкера теперь входят:

• отправка СМС с заданным текстом на указанный в команде номер;
• выполнение USSD-запросов;
• запуск программ;
• смена адреса управляющего сервера;
• отправка на управляющий сервер копий хранящихся на устройстве СМС;
• получение информации об установленных приложениях;
• перехват вводимых на клавиатуре символов (кейлоггер);
• запрос дополнительных разрешений для работы;
• показ диалоговых окон с заданным в команде содержимым;
• показ push-уведомлений, содержимое которых указывается в команде;
• показ push-уведомления, содержимое которого задано в коде троянца;
• отправка на сервер всех номеров из телефонной книги;
• рассылка СМС по всем номерам из телефонной книги;
• блокировка экрана устройства окном WebView, в котором демонстрируется содержимое полученной от сервера веб-страницы;
• запрос доступа к функциям специальных возможностей (Accessibility Service);
• переадресация телефонных звонков;
• открытие в браузере заданных в командах веб-сайтов;
• открытие ссылок на веб-страницы с использованием WebView;
• шифрование файлов и требование выкупа;
• расшифровка файлов;
• запись окружения с использованием микрофона устройства;
• получение доступа к информации об устройстве и его местоположении;
• получение IP-адреса устройства;
• очистка конфигурационного файла и остановка работы троянца.

На следующих иллюстрациях продемонстрирован список команд, которые злоумышленники могут отправлять банкеру через панель администрирования:

Большинство команд, передаваемых банкеру, настраиваются в этой же панели. Например, на изображении ниже показана конфигурация параметров шифрования файлов. Вирусописатели могут задать ключ шифрования, сумму выкупа (например, в биткойнах), которую Android.BankBot.325.origin запросит у жертвы, а также свой номер кошелька для перевода:

Там же настраиваются поддельные уведомления, которые должны заставить пользователя запустить нужное киберпреступникам приложение. Сразу после старта целевой программы троянец показывает поверх ее окна фишинговую форму ввода логина, пароля и другой секретной информации и передает ее вирусописателям.

Аналогичным образом настраиваются и сами фишинговые окна вместе с дополнительными параметрами:

Android.BankBot.325.origin показывает поддельные формы авторизации при запуске свыше 160 программ, среди которых – ПО для доступа к банковским услугам, платежным системам и социальным сетям. При этом к ним добавились и популярные приложения для работы с криптовалютами. Android.BankBot.325.origin – не первый банкер, который пытается украсть логины и пароли от таких программ, однако именно в нем злоумышленники постарались сделать внешний вид фишинговых окон максимально похожим на интерфейс настоящих приложений. Примеры таких мошеннических форм авторизации показаны на следующих изображениях:

Вирусные аналитики установили, что троянец атакует пользователей из России, Украины, Турции, Англии, Германии, Франции, Индии, США, Гонконга, Венгрии, Израиля, Японии, Новой Зеландии, Кении, Польши и Румынии. Однако в любое время этот список может пополниться и другими государствами, если киберпреступники проявят к ним интерес.

Специалисты компании «Доктор Веб» ожидают, что авторы Android.BankBot.325.origin продолжат совершенствовать функционал троянца и будут добавлять в него новые возможности удаленного управления зараженными смартфонами и планшетами. Не исключено, что в троянце появятся дополнительные шпионские функции. Антивирусные продукты Dr.Web для Android успешно детектируют все известные модификации этого вредоносного приложения, поэтому для наших пользователей оно опасности не представляет.

Подробнее о троянце

13 марта 2018 года

Вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play Android-троянцев, которые распространяются под видом известных приложений. Эти подделки по команде злоумышленников способны загружать и показывать любые веб-страницы, что может быть использовано для проведения фишинговых атак.

Выявленные программы имеют названия известных приложений, а также схожие с оригиналами значки. Специалисты «Доктор Веб» обнаружили подделки ПО Qiwi Кошелек, Сбербанк Онлайн, Одноклассники, ВКонтакте и НТВ. Ниже продемонстрировано, как интернет-мошенники обманывают потенциальных жертв. На иллюстрации слева показана страница программы-имитатора, которую можно легко найти в каталоге Google Play. Справа – страница подлинного ПО.

При каждом запуске эти приложения-подделки соединяются с управляющим сервером, который в ответ либо отправляет параметр «none», либо передает заданную злоумышленниками веб-ссылку. При получении первого параметра программы извлекают из своих ресурсов несколько изображений и показывают их пользователям. В этом и заключается весь их «полезный» функционал. Если же в ответе программам поступает ссылка на веб-страницу, они загружают и отображают ее. Открытие страницы выполняется с применением WebView непосредственно в самих приложениях, где ссылка на целевой интернет-адрес не видна. При этом содержимое показываемых страниц может быть абсолютно любым. В частности, это могут оказаться поддельные формы входа в учетную запись онлайн-банкинга или социальных сетей. В результате владельцы Android-смартфонов и планшетов рискуют стать жертвами фишинговых атак. Поскольку такой функционал представляет серьезную опасность, указанное ПО добавлено в вирусную базу Dr.Web как вредоносное и детектируется под именем Android.Click.415.

Помимо уже описанных троянцев, вирусные аналитики «Доктор Веб» выявили более 70 аналогичных программ, которые в общей сложности загрузили свыше 270 000 пользователей. Среди этих приложений – поддельные игры, сборники рецептов и пособия по вязанию, некоторые из них действительно обладают заявленными функциями. Однако, как и троянец Android.Click.415, они могут получать от управляющего сервера ссылки на любые веб-страницы, которые затем загрузят и продемонстрируют пользователям. Эти программы также были добавлены в вирусную базу Dr.Web и детектируются под именами Android.Click.416 и Android.Click.417. Кроме того, во время работы различные модификации вредоносных приложений показывают рекламу, постоянно выводя ее на экран мобильного устройства:

Троянцев распространяли как минимум 4 разработчика: Tezov apps, Aydarapps, Chmstudio и SVNGames. Специалисты «Доктор Веб» оповестили корпорацию Google обо всех найденных вредоносных приложениях, однако на момент публикации этой новости они все еще были доступны для загрузки.

Компания «Доктор Веб» напоминает, что при установке программ даже из надежных источников, таких как Google Play, необходимо обращать внимание на имя разработчика. Злоумышленники могут копировать внешний вид приложений, а также использовать похожие названия, чтобы обманом заставить потенциальных жертв установить подделки, которые легко находятся при поиске в каталогах ПО. Антивирусные продукты Dr.Web для Android детектируют и удаляют все известные модификации троянцев Android.Click.415, Android.Click.416 и Android.Click.417, поэтому те для наших пользователей опасности не представляют.

• Подробнее о троянце Android.Click.415
• Подробнее о троянце Android.Click.416
• Подробнее о троянце Android.Click.417

6 марта 2018 года

Вирусные аналитики компании «Доктор Веб» исследуют нескольких троянцев, относящихся к известному семейству Trojan.LoadMoney и скачивающих на инфицированные компьютеры другие опасные приложения.

Семейство вредоносных программ Trojan.LoadMoney известно еще с 2013 года, и новые его представители появляются с завидной регулярностью. Один из них получил название Trojan.LoadMoney.3209. В троянце содержится два интернет-адреса, с которых он скачивает и запускает другие вредоносные программы. На момент исследования он загружал с обоих адресов идентичный зашифрованный файл и сохранял его во временную папку со случайным именем. Затем этот файл считывался в память, удалялся, а потом снова сохранялся во временную папку, также со случайным именем. Наконец, этот исполняемый файл считывался в память и запускался из нее, а исходный файл удалялся.

Один из файлов, которые загружает Trojan.LoadMoney.3209, получил название Trojan.LoadMoney.3558. Эта вредоносная программа устроена сложнее. Trojan.LoadMoney.3558 играет роль основного инфектора системы и использует для скачивания файлов свободно распространяемую утилиту cURL. Эта утилита позволяет взаимодействовать сразу с несколькими серверами в Интернете по множеству разных протоколов. Троянец расшифровывает ее и сохраняет на диск. Для скачивания файлов на зараженный компьютер с помощью cURL Trojan.LoadMoney.3558 использует Планировщик заданий Windows. Троянец содержит четыре зашифрованных адреса интернет-ресурсов, один из них используется для работы cURL, а с трех оставшихся незаметно для пользователя загружается и запускается исполняемый файл, получивший наименование Trojan.LoadMoney.3263. После запуска исходный файл Trojan.LoadMoney.3263 удаляется.

После скачивания троянец извлекает из себя исполняемый файл, восстанавливает его заголовок и сохраняет во временной папке, а потом запускает. Указанный файл детектируется Dr.Web под именем Trojan.Siggen7.35395. Благодаря тому, что вирусописатели не реализовали в коде вредоносных программ никаких визуальных эффектов, все упомянутые выше троянцы не проявляют себя в зараженной системе, поэтому обнаружить их вредоносную деятельность непросто.

Вирусные аналитики «Доктор Веб» продолжают исследование этого семейства вредоносных программ и загружаемых ими из Интернета опасных файлов. По мере выявления новых фактов мы будем информировать о них наших читателей. Антивирусные продукты Dr.Web надежно защищают от всех известных на сегодняшний день представителей семейства Trojan.LoadMoney, поэтому те не представляют опасности для наших пользователей.

Подробнее о троянце

5 марта 2018 года

Вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play троянца, распространяющегося под видом программы для доступа к услугам онлайн-банкинга сразу нескольких кредитных организаций. Это вредоносное приложение крадет логины, пароли и другую конфиденциальную информацию и ориентировано на пользователей из России.

Вредоносная программа, получившая имя Android.BankBot.344.origin, скрывается в приложении под названием «ВСЕБАНКИ – Все банки в одном месте». Вирусописатели опубликовали ее совсем недавно, 25 февраля, и троянца успели скачать не более 500 владельцев мобильных устройств. При этом, чтобы сделать банкера более привлекательным для потенциальных жертв, его авторы не поленились оставить поддельные отзывы от имени «счастливых пользователей». Специалисты «Доктор Веб» передали информацию о троянце в корпорацию Google, которая оперативно удалила его из каталога Google Play.

Android.BankBot.344.origin является модификацией вредоносной программы Android.BankBot.336.origin, которая была обнаружена в феврале и также распространялась через Google Play. В отличие от старой версии, атаковавшей украинских пользователей, обновленный троянец нацелен на клиентов российских банков. Как и в случае с предыдущей модификацией, киберпреступники выдавали Android.BankBot.344.origin за приложение, которое якобы предоставляло онлайн-доступ к финансовым услугам сразу нескольких кредитных организаций. Но в действительности оно не имело заявленного функционала.

Троянец предлагал пользователям либо войти в уже существующую учетную запись мобильного банкинга, используя имеющиеся логин и пароль, либо зарегистрироваться, введя информацию о банковской карте. Однако после того как жертвы указывали секретные данные, он передавал их вирусописателям, в результате чего те могли украсть деньги обманутых владельцев мобильных устройств. Как и предыдущая версия троянца, Android.BankBot.344.origin мог перехватывать входящие СМС.

Компания «Доктор Веб» напоминает, что для работы с системами онлайн-банкинга необходимо устанавливать только официальные приложения кредитных организаций. Антивирусные продукты Dr.Web для Android детектируют и удаляют все известные модификации троянца Android.BankBot.344.origin, поэтому для наших пользователей он опасности не представляет.

Подробнее о троянце

1 марта 2018 года

В середине 2017 года специалисты компании «Доктор Веб» сообщили о выявлении нового троянца Android.Triada.231 в прошивках нескольких бюджетных моделей Android-смартфонов. С момента обнаружения вредоносной программы перечень моделей зараженных устройств постоянно пополнялся и в настоящий момент насчитывает более 40 наименований. «Доктор Веб» внимательно следил за этим троянцем и публикует результаты проведенного расследования.

Android.Triada.231 – представитель опасного семейства троянцев Android.Triada. Они заражают процесс важного системного компонента ОС Android под названием Zygote, который участвует в запуске всех программ. После внедрения в этот модуль троянцы проникают в процессы остальных работающих приложений и получают возможность выполнять различные вредоносные действия без участия пользователя. Например, незаметно скачивать и запускать ПО. Особенность Android.Triada.231 заключается в том, что вирусописатели встраивают этого троянца в системную библиотеку libandroid_runtime.so на уровне исходного кода, а не распространяют его как отдельную программу. В результате действий злоумышленников вредоносное приложение поселяется непосредственно в прошивке инфицированных мобильных устройств уже на этапе производства, и пользователи становятся обладателями зараженных смартфонов «из коробки».

Сразу после обнаружения Android.Triada.231 летом прошлого года компания «Доктор Веб» сообщила о нем производителям зараженных устройств. Однако, несмотря на своевременное предупреждение, вредоносная программа по-прежнему попадает на новые модели смартфонов. Например, она была найдена на смартфоне Leagoo M9, который был анонсирован в декабре 2017 года. При этом исследование показало, что добавление троянца в прошивку произошло по просьбе партнера Leagoo, компании-разработчика из Шанхая. Эта организация предоставила одно из своих приложений для включения в образ операционной системы мобильных устройств, а также дала инструкцию по внесению стороннего кода в системные библиотеки перед их сборкой (компиляцией). К сожалению, такая сомнительная просьба не вызвала у производителя никаких подозрений, и Android.Triada.231 беспрепятственно попал на смартфоны.

Анализ приложения, которое компания-партнер предложила внести в прошивку Leagoo M9, показал, что оно подписано тем же сертификатом, что и троянец Android.MulDrop.924, о котором «Доктор Веб» рассказывал еще в 2016 году. Можно предположить, что разработчик, попросивший внести дополнительную программу в образ операционной системы, может быть прямо или косвенно причастен к распространению Android.Triada.231.

К настоящему времени вирусные аналитики выявили Android.Triada.231 в прошивке более 40 моделей Android-устройств:

• Leagoo M5
• Leagoo M5 Plus
• Leagoo M5 Edge
• Leagoo M8
• Leagoo M8 Pro
• Leagoo Z5C
• Leagoo T1 Plus
• Leagoo Z3C
• Leagoo Z1C
• Leagoo M9
• ARK Benefit M8
• Zopo Speed 7 Plus
• UHANS A101
• Doogee X5 Max
• Doogee X5 Max Pro
• Doogee Shoot 1
• Doogee Shoot 2
• Tecno W2
• Homtom HT16
• Umi London
• Kiano Elegance 5.1
• iLife Fivo Lite
• Mito A39
• Vertex Impress InTouch 4G
• Vertex Impress Genius
• myPhone Hammer Energy
• Advan S5E NXT
• Advan S4Z
• Advan i5E
• STF AERIAL PLUS
• STF JOY PRO
• Tesla SP6.2
• Cubot Rainbow
• EXTREME 7
• Haier T51
• Cherry Mobile Flare S5
• Cherry Mobile Flare J2S
• Cherry Mobile Flare P1
• NOA H6
• Pelitt T1 PLUS
• Prestigio Grace M5 LTE
• BQ-5510 Strike Power Max 4G (пр-ва Россия)

Этот список – не окончательный, перечень инфицированных моделей смартфонов может оказаться гораздо шире.

Такое широкое распространение Android.Triada.231 говорит о том, что многие производители Android-устройств уделяют слишком мало внимания вопросам безопасности, и внедрение троянского кода в системные компоненты из-за ошибок или злого умысла может быть весьма распространенной практикой.

Продукты Dr.Web для Android обнаруживают все известные модификации Android.Triada.231, поэтому, чтобы выяснить, заражено ли мобильное устройство, необходимо выполнить его полную проверку. Dr.Web Security Space для Android при наличии root-полномочий способен обезвредить Android.Triada.231, вылечив зараженный системный компонент. Если же на инфицированном устройстве root-привилегии недоступны, избавиться от вредоносной программы поможет установка чистого образа операционной системы, которую должен предоставить производитель смартфона.

Подробнее о троянце

Обновление от 15 марта 2018 года

Вскоре после того как компания «Доктор Веб» проинформировала производителей зараженных мобильных устройств о наличии троянца Android.Triada.231 в прошивках выпускаемых ими моделей Android-смартфонов, некоторые из этих фирм сообщили об успешном устранении выявленной проблемы. На данный момент об удалении вредоносного приложения заявили компании Cubot и Leagoo. В список смартфонов, для которых выпущены исправления операционной системы, вошли следующие модели:

• Cubot Rainbow
• Leagoo M5
• Leagoo M5 Plus
• Leagoo M5 Edge
• Leagoo M8
• Leagoo M8 Pro
• Leagoo Z5C
• Leagoo T1 Plus
• Leagoo Z3C
• Leagoo Z1C
• Leagoo M9

При этом в новой версии прошивки смартфона Leagoo M9, в которой Android.Triada.231 был удален, вирусные аналитики компании «Доктор Веб» обнаружили другую вредоносную программу, которая получила имя Android.HiddenAds.251.origin. Она относится к семейству троянцев, которые показывают надоедливую рекламу. Дальнейший анализ показал, что Android.HiddenAds.251.origin присутствует и в более ранних версиях ОС Android устройств Leagoo M9. В настоящее время производитель зараженных смартфонов занимается решением вновь возникшей проблемы.

Владельцам инфицированных смартфонов, для которых вышли новые версии прошивок, рекомендуется проверить наличие доступных обновлений и установить их. После этого следует выполнить полное сканирование системы с использованием антивирусных продуктов Dr.Web для Android, чтобы убедиться, что Android.Triada.231 был нейтрализован, и что на устройстве не скрываются другие вредоносные приложения.

8 февраля 2018 года

Информация о распространении троянца Android.CoinMine.15, известного также под названием ADB.miner, появилась несколько дней назад в блоге китайской компании, работающей в сфере информационной безопасности. По данным китайских исследователей, скорость распространения троянца в активный период была очень велика: ежедневно количество инфицированных устройств возрастало вдвое. Специалисты «Доктор Веб» полагают, что большинство зараженных устройств – «умные» телевизоры, поскольку именно они, как правило, имеют постоянное подключение к Интернету с использованием ADB.

Этот Android-троянец, предназначенный для добычи криптовалюты Monero, способен инфицировать другие устройства без участия пользователя. Вредоносная программа Android.CoinMine.15 заражает Android-устройства с открытым портом 5555, который используется интерфейсом отладчика Android Debug Bridge (ADB). Инфицированными могут оказаться не только «умные» телевизоры, но также смартфоны, планшеты, телевизионные приставки, роутеры, медиаплееры и ресиверы – то есть устройства, использующие отладку по сети. Еще одним потенциально уязвимым устройством является одноплатный компьютер Raspberry Pi 3 с установленной ОС Android.

Распространение троянца происходит следующим образом. С другого зараженного устройства на атакуемый узел устанавливается приложение droidbot.apk, а также файлы с именами nohup, sss и bot.dat. Затем файл sss запускается с помощью утилиты nohup и в процессе работы становится демоном. После этого он извлекает из bot.dat другие компоненты троянца, в том числе конфигурационный файл в формате JSON, приложения-майнеры (для 32- и 64-разрядной версии ОС) и экземпляр троянской программы droidbot. После запуска droidbot в непрерывном цикле случайным образом генерирует IP-адрес и пытается подключиться к порту 5555. В случае успеха троянец предпринимает попытку заразить обнаруженное устройство с использованием интерфейса отладчика ADB. В отдельном потоке Android.CoinMine.15 запускает приложение-майнер, предназначенное для добычи криптовалюты Monero (XMR). Заражение подобными вредоносными программами может привести к заметному снижению быстродействия устройства, его нагреву, а также быстрому расходованию ресурса аккумулятора.

В ОС Android отладчик ADB по умолчанию отключен, однако некоторые производители все же оставляют его включенным. Кроме того, ADB по каким-либо причинам может быть включен самим пользователем — чаще всего режим отладки необходим разработчикам программ. Согласно статистике, собранной Dr.Web для Android, отладчик Android Debug Bridge включен на 8% устройств, защищенных нашим антивирусом. Поскольку такая настройка может представлять потенциальную угрозу, специальный компонент Dr.Web – Аудитор безопасности – предупреждает пользователя о включенном отладчике и предлагает отключить его.

Специалисты компании «Доктор Веб» рекомендуют всем владельцам Android-устройств выполнить проверку операционной системы на предмет потенциально опасных настроек. Для этого на нашем сайте или в официальном каталоге Google Play можно приобрести Dr.Web Security Space для Android, в состав которого входит Аудитор безопасности. Если на вашем устройстве включена, но не используется отладка по USB, лучше эту функцию отключить. Троянец-майнер Android.CoinMine.15 детектируется и удаляется антивирусными программами Dr.Web для Android, поэтому не представляет угрозы для наших пользователей.

Подробнее о троянце

#Android #майнинг #криптовалюты

5 февраля 2018 года

Троянцы-энкодеры, шифрующие хранящиеся на зараженном устройстве файлы и требующие выкуп за их расшифровку, по-прежнему представляют серьезную опасность. Компания «Доктор Веб» предупреждает пользователей о распространении очередного такого шифровальщика.

Троянец, названный создателями «GandCrab!», был добавлен в вирусные базы Dr.Web под именем Trojan.Encoder.24384. Он присваивает зашифрованным файлам расширение *.GDCB. В настоящее время известно две версии этого энкодера.

Запустившись на атакуемом устройстве, работающем под управлением Microsoft Windows, Trojan.Encoder.24384 может собирать информацию о наличии запущенных процессов антивирусов. Затем, выполнив проверку с целью предотвращения повторного запуска, он принудительно завершает процессы программ по заданному вирусописателями списку. Установив свою копию на диск, для обеспечения своего автоматического запуска энкодер модифицирует ветвь системного реестра Windows.

Троянец шифрует содержимое фиксированных, съемных и сетевых дисков, за исключением ряда папок, среди которых имеются служебные и системные. Каждый диск шифруется в отдельном потоке. После окончания шифрования троянец отправляет на сервер данные о количестве зашифрованных файлов и времени, потраченном на шифрование.

Троянец использует управляющий сервер, доменное имя которого не разрешается стандартными способами. Для получения IP-адреса этого сервера шифровальщик выполняет команду nslookup и ищет нужную информацию в ее выводе.

В настоящее время расшифровка файлов, зашифрованных троянцем Trojan.Encoder.24384, невозможна. Компания «Доктор Веб» снова напоминает пользователям, что наиболее надежным способом уберечь свои файлы является своевременное резервное копирование всех важных данных, при этом для хранения резервных копий желательно использовать внешние носители информации.

Подробнее о троянце

24 января 2018 года

В июле 2017 года специалисты компании «Доктор Веб» обнаружили в серверных приложениях Cleverence Mobile SMARTS Server уязвимость нулевого дня. Разработчики программы выпустили обновление для устранения этой уязвимости, однако ее до сих пор используют злоумышленники для добычи (майнинга) криптовалют.

Приложения семейства Cleverence Mobile SMARTS Server созданы для автоматизации магазинов, складов, различных учреждений и производств. Они предназначены для работы на ПК под управлением Microsoft Windows. В конце июля прошлого года специалисты компании «Доктор Веб» обнаружили критическую уязвимость в одном из компонентов Cleverence Mobile SMARTS Server, с использованием которой злоумышленники получают несанкционированный доступ к серверам и устанавливают на них троянцев семейства Trojan.BtcMine, предназначенных для добычи (майнинга) криптовалют. Об этой уязвимости мы незамедлительно сообщили разработчикам программного комплекса.

Изначально киберпреступники использовали несколько версий майнера, детектируемых антивирусом Dr.Web как Trojan.BtcMine.1324, Trojan.BtcMine.1369 и Trojan.BtcMine.1404. На сервер, на котором работает ПО Cleverence Mobile SMARTS Server, злоумышленники отправляют специальным образом сформированный запрос, в результате чего происходит выполнение команды, содержащейся в этом запросе. Взломщики используют команду для создания в системе нового пользователя с административными привилегиями и получают от его имени несанкционированный доступ к серверу по протоколу RDP. В некоторых случаях с помощью утилиты Process Hacker киберпреступники завершают процессы работающих на сервере антивирусов. Получив доступ к системе, они устанавливают в ней троянца-майнера.

Этот троянец представляет собой динамическую библиотеку, которую киберпреступники сохраняют во временную папку и затем запускают. Вредоносная программа заменяет собой одну из легитимных системных служб Windows, выбирая «жертву» по ряду параметров, при этом файл оригинальной службы удаляется. Затем вредоносная служба получает ряд системных привилегий и устанавливает для своего процесса флаг критического. После этого троянец сохраняет на диск необходимые для своей работы файлы и приступает к майнингу криптовалюты, используя аппаратные ресурсы инфицированного сервера.

Несмотря на то, что разработчики Cleverence Mobile SMARTS Server своевременно выпустили обновление, закрывающее уязвимость в программном комплексе, многие администраторы серверов не торопятся с его установкой, чем и пользуются злоумышленники. Киберпреступники продолжают устанавливать на взломанные ими серверы троянцев-майнеров, постоянно модифицируя их версии. Со второй половины ноября 2017 года злоумышленники начали использовать принципиально нового троянца, которого они совершенствуют и по сей день. Эта вредоносная программа получила название Trojan.BtcMine.1978, она предназначена для добычи криптовалют Monero (XMR) и Aeon.

Майнер запускается в качестве критически важного системного процесса с отображаемым именем «Plug-and-Play Service», при попытке завершить который Windows аварийно прекращает работу и демонстрирует «синий экран смерти» (BSOD). После запуска Trojan.BtcMine.1978 пытается удалить службы антивирусов Dr.Web, Windows Live OneCare, «Антивируса Касперского», ESET Nod32, Emsisoft Anti-Malware, Avira, 360 Total Security и Windows Defender. Затем майнер ищет запущенные на атакуемом компьютере процессы антивирусных программ. В случае успеха он расшифровывает, сохраняет на диск и запускает драйвер, с помощью которого пытается завершить эти процессы. Антивирус Dr.Web успешно обнаруживает и блокирует драйвер Process Hacker, который использует Trojan.BtcMine.1978, — этот драйвер был добавлен в вирусные базы Dr.Web как хакерская утилита (hacktool).

Получив из собственной конфигурации список портов, Trojan.BtcMine.1978 ищет в сетевом окружении роутер. Затем с помощью протокола UPnP он перенаправляет TCP-порт роутера на порты из полученного списка и подключается к ним в ожидании соединений по протоколу HTTP. Необходимые для своей работы настройки вредоносная программа хранит в системном реестре Windows.

В теле майнера содержится список IP-адресов управляющих серверов, которые он проверяет с целью обнаружить активный. Затем троянец настраивает на зараженной машине прокси-серверы, которые будут использоваться для добычи криптовалют. Также Trojan.BtcMine.1978 по команде злоумышленников запускает оболочку PowerShell и перенаправляет ее ввод-вывод на подключающегося к скомпрометированному узлу удаленного пользователя. Это позволяет злоумышленникам выполнять на зараженном сервере различные команды.

Выполнив эти действия, троянец встраивает во все запущенные процессы модуль, предназначенный для добычи криптовалют. Первый процесс, в котором этот модуль начинает работу, и будет использоваться для майнинга Monero (XMR) и Aeon.

Несмотря на то, что Trojan.BtcMine.1978 обладает механизмом, позволяющим принудительно завершать процессы антивирусных программ, наши пользователи могут чувствовать себя в безопасности, поскольку самозащита Антивируса Dr.Web не дает троянцу нарушить работу критически важных компонентов. Администраторам серверов, использующих Cleverence Mobile SMARTS Server, специалисты компании «Доктор Веб» рекомендуют установить все выпущенные разработчиками обновления безопасности.

16 января 2018 года

Вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play несколько игр для ОС Android со встроенным в них троянцем Android.RemoteCode.127.origin. Он незаметно скачивает и запускает дополнительные модули, которые выполняют различные вредоносные функции. Например, симулируют действия пользователей, скрытно открывая веб-сайты и нажимая на расположенные на них элементы.

Android.RemoteCode.127.origin входит в состав программной платформы (SDK, Software Development Kit) под названием 呀呀云 («Я Я Юнь»), которую разработчики используют для расширения функционала своих приложений. В частности, она позволяет игрокам поддерживать друг с другом связь. Однако помимо заявленных возможностей указанная платформа выполняет троянские функции, скрытно загружая с удаленного сервера вредоносные модули.

При запуске программ, в которые встроен этот SDK, Android.RemoteCode.127.origin делает запрос к управляющему серверу. В ответ он может получить команду на загрузку и запуск вредоносных модулей, способных выполнять самые разные действия. Один из таких модулей, который перехватили и исследовали специалисты «Доктор Веб», получил имя Android.RemoteCode.126.origin. После старта он соединяется с управляющим сервером и получает от него ссылку для загрузки безобидного на первый взгляд изображения.

В действительности же в этом графическом файле спрятан еще один троянский модуль, представляющий обновленную версию Android.RemoteCode.126.origin.Такой метод маскировки вредоносных объектов в изображениях (стеганография) уже не раз встречался вирусным аналитикам. Например, он применялся в обнаруженном в 2016 году троянце Android.Xiny.19.origin.

После расшифровки и запуска новая версия троянского модуля (детектируется Dr.Web как Android.RemoteCode.125.origin) начинает работать одновременно со старой, дублируя ее функции. Затем этот модуль скачивает еще одно изображение, в котором также скрыт вредоносный компонент. Он получил имя Android.Click.221.origin.

Его основная задача – незаметное открытие веб-сайтов и нажатие на расположенные на них элементы – например, ссылки и баннеры. Для этого Android.Click.221.origin загружает с указанного управляющим сервером адреса скрипт, которому предоставляет возможность совершать различные действия на странице, в том числе симулировать клики по указанным скриптом элементам. Таким образом, если в задании троянца был переход по ссылкам или рекламным объявлениям, злоумышленники получают прибыль за накрутку счетчика посещений веб-страниц и нажатия на баннеры. Однако этим функционал Android.RemoteCode.127.origin не ограничивается, т. к. вирусописатели способны создать другие троянские модули, которые будут выполнять иные вредоносные действия. Например, показывать фишинговые окна для кражи логинов и паролей, демонстрировать рекламу, а также скрытно загружать и устанавливать приложения.

Специалисты компании «Доктор Веб» обнаружили в каталоге Google Play 27 игр, в которых использовался троянский SDK. В общей сложности их загрузили более 4 500 000 владельцев мобильных устройств. Список приложений с внедренным Android.RemoteCode.127.origin представлен в таблице ниже:

Вирусные аналитики проинформировали корпорацию Google о наличии троянского компонента в указанных приложениях, однако на момент выхода этой публикации они все еще были доступны для загрузки. Владельцам Android-смартфонов и планшетов, которые установили игры с троянцем Android.RemoteCode.127.origin, рекомендуется удалить их. Антивирусные продукты Dr.Web для Android успешно детектируют программы, в которых содержится Android.RemoteCode.127.origin, поэтому для наших пользователей этот троянец опасности не представляет.

Подробнее о троянце

22 декабря 2017 года

Семейство бэкдоров Anunak – это целый ряд вредоносных программ, способных выполнять на инфицированном устройстве команды злоумышленников. Аналитики компании «Доктор Веб» изучили нового представителя этого семейства – тот может заражать 64-разрядные версии Microsoft Windows и шифрует все данные, которыми обменивается с управляющим сервером.

Троянец, получивший имя BackDoor.Anunak.142, обменивается информацией со своим управляющим сервером, формируя зашифрованные пакеты. При этом заголовок каждого пакета и блок передаваемых данных шифруются по отдельности. Эта версия бэкдора способна заражать устройства, работающие под управлением 64-разрядных версий Windows. Существует и 32-разрядная модификация данного троянца – она получила порядковый номер 124.

BackDoor.Anunak.142 может выполнять на зараженном устройстве следующие действия:

• скачивание файлов с заданного удаленного сервера;
• загрузка файлов на удаленный сервер;
• запуск файла на инфицированном устройстве;
• выполнение команд в консоли cmd.exe;
• перенаправление трафика между портами;
• загрузка и установка собственных модулей.

Запись для BackDoor.Anunak.142 добавлена в вирусные базы Dr.Web, поэтому троянец не представляет опасности для наших пользователей.

14 декабря 2017 года

Компания «Доктор Веб» провела среди посетителей своего сайта опрос, посвященный информационной безопасности в организациях. В этом материале мы подводим окончательные итоги опроса и знакомим наших читателей с полученными результатами.

Примерно четверть посетителей сайта компании «Доктор Веб» работают в организациях, где имеется небольшой, численностью до пяти сотрудников, IT-отдел. Столько же респондентов сообщили о том, что вся компьютерная инфраструктура их предприятия поддерживается усилиями единственного системного администратора. Порядка 16% ответивших пользуются услугами приходящих сисадминов, чуть меньше — сторонних организаций по принципу аутсорсинга. Вот как охарактеризовали ситуацию с системным администрированием посетители нашего сайта:

Большинство – а именно 84% опрошенных – знает, что делать и кого следует оповестить в случае заражения вредоносными программами личного устройства или компьютера, с которого осуществляется доступ в корпоративную сеть:

В выходные принято отдыхать. Этот тезис подтверждают и результаты опроса: более 60% респондентов сообщили, что в праздничные и нерабочие дни за функционированием электронной почты и других сервисов в их компаниях никто не следит. А значит, атаки на эти 60% компаний в выходные могут быть не замечены. Но даже если в компании есть дежурная смена - в 17 процентах ее наличие может и не спасти, тревожные списки ведутся формально, найти нужного сотрудника будет сложно.

Согласно результатам опроса, в 31% компаний не проводится никакого обучения сотрудников правилам безопасной работы, а к вопросам информационной безопасности руководство относится формально. Регулярное обучение осуществляется только в организациях 23% опрошенных, примерно столько же респондентов сообщили о том, что обучение проводится нерегулярно:

У 31% респондентов компьютеры на рабочих местах настроены так, что открыть вредоносное письмо или запустить опасный файл пользователь попросту не может. Еще 25% опрошенных утверждают, что сотрудники компании беспрепятственно могут переходить по любым ссылкам и открывать вложения в сообщениях электронной почты. Примерно столько же посетителей сайта уверены в том, что их коллеги неукоснительно соблюдают все правила безопасности:

Установка и удаление программ, а также настройка операционной системы — очень важный аспект информационной безопасности. Многие компании ограничивают для своих сотрудников возможность самостоятельной установки приложений и настройки ПК: таковых, по сообщениям наших респондентов, насчитывается 30%. При этом системные администраторы в этих организациях выполняют все необходимые действия вручную по заявке пользователей. Системы удаленного доступа используются в 19% случаев, а централизованное управление антивирусным ПО и прочими сложными системами — на 21% предприятий. Полной «информационной свободой» с правами администратора на рабочем компьютере наслаждаются лишь 16% респондентов.

Антивирус Dr.Web установлен на компьютерах 34% респондентов, другие платные антивирусы присутствуют на ПК 35% участников опроса. Бесплатными решениями пользуются 16% предприятий. Несколько человек сознались в том, что устанавливали взломанные антивирусные программы или антивирусы с пиратскими ключами.

Мобильные устройства сотрудников компаний, в которых работают посетители нашего сайта, не защищены никаким антивирусом в 28% случаев. Мобильный Антивирус Dr.Web используют 14% опрошенных, платное антивирусное ПО других производителей — 7% респондентов, столько же установили на свои смартфоны различные бесплатные продукты.

Домашние и личные компьютеры, с помощью которых сотрудники могут подключаться к корпоративной локальной сети или обрабатывать важные данные своей компании, защищены продуктами Dr.Web у 20% опрошенных. 16% таких устройств не имеют никакой защиты, а 10% полагаются на возможности бесплатных антивирусных программ. Один человек использует пиратское антивирусное ПО.

Почти половина опрошенных — 48% — утверждает, что в течение последнего года в их компаниях не произошло ни одного случая заражения компьютеров вредоносным ПО. В организациях 37% респондентов имело место 5 или менее заражений в течение года, большее количество инцидентов зафиксировано у 15% опрошенных.

В случае заражения корпоративных компьютеров вредоносными программами 26% респондентов сканируют каждую машину в отдельности при помощи Dr.Web CureIt!, 15% проверяют сразу всю сеть с использованием Dr.Web CureNet!. 5% опрошенных для лечения зараженных ПК покупают лицензионный антивирус, а 4% используют антивирусы с демолицензией, которые удаляют по завершении лечения. Еще 4% опрошенных «лечат» инфицированные компьютеры переустановкой операционной системы.

Среди всех участников опроса 60% работают в частных компаниях, 40% — в государственных. В непроизводственном секторе (ЖКХ, бытовое обслуживание, общественный транспорт, здравоохранение, социальное обеспечение, образование и наука, искусство и культура, общественные организации) занято 47% респондентов, в реальном секторе (отрасли, производящие нематериальные и материальные товары и услуги) — 45%, оставшиеся 8% работают в финансовой, кредитной и банковской сфере. Возрастное распределение участников опроса показано на диаграмме ниже, при этом несколько респондентов сообщили, что им меньше 18 лет.

Численность сотрудников компаний, в которых работают посетители нашего сайта, представлена на следующей иллюстрации:

Проведенный компанией «Доктор Веб» опрос позволяет сделать следующие выводы:

• большинство организаций имеет либо малочисленный IT-отдел, либо пользуется услугами единственного системного администратора, и сотрудникам хорошо известно, к кому обращаться в случае возникновения нештатных ситуаций в сфере информационной безопасности;
• вместе с тем руководители предприятий уделяют недостаточно внимания обучению персонала, подходя к вопросам их информирования о правилах безопасной работы слишком формально;
• в выходные и праздничные дни за IT-инфраструктурой большинства компаний никто не следит, злоумышленники могут атаковать компанию, рассчитывая на отсутствие профессионального противодействия;
• корпоративные компьютеры и локальные сети, как правило, защищены от внешних угроз с использованием различных политик безопасности и антивирусного ПО;
• тем не менее, недостаточно внимания уделяется вопросам безопасности личных компьютеров и мобильных устройств, в том числе тех, с использованием которых сотрудники могут подключаться к корпоративной сети.

7 декабря 2017 года

Компания «Доктор Веб» уже рассказывала о троянце Linux.ProxyM, способном заражать «умные» устройства под управлением ОС Linux. В сентябре злоумышленники с его помощью рассылали спам, а в последнее время используют его возможности для взлома веб-сайтов.

Linux.ProxyM — это вредоносная программа для ОС семейства Linux, запускающая на инфицированном устройстве SOCKS-прокси-сервер. С его помощью киберпреступники могут анонимно совершать различные деструктивные действия. Известны сборки этого троянца для устройств с архитектурой x86, MIPS, MIPSEL, PowerPC, ARM, Superh, Motorola 68000 и SPARC. Это означает, что Linux.ProxyM может заразить практически любое устройство под управлением Linux, включая роутеры, телевизионные приставки и другое подобное оборудование.

В сентябре аналитикам «Доктор Веб» стало известно, что злоумышленники рассылали с использованием Linux.ProxyM более 400 спам-сообщений в сутки с каждого инфицированного устройства. Письма рекламировали ресурсы «для взрослых» и сомнительные финансовые услуги. Вскоре киберпреступники стали использовать «Интернет вещей» для распространения фишинговых сообщений. Подобные послания отправлялись якобы от имени DocuSign — сервиса, позволяющего загружать, просматривать, подписывать и отслеживать статус электронных документов.

Если пользователь переходил по ссылке в письме, он попадал на поддельный сайт DocuSign с формой авторизации. После ввода пароля жертва мошенников перенаправлялась на настоящую страницу авторизации DocuSign, а содержимое фишинговой формы отправлялось злоумышленникам.

В декабре киберпреступники нашли новое применение зараженным Linux.ProxyM устройствам: используя реализованный в троянце прокси-сервер для сохранения анонимности, они стали предпринимать многочисленные попытки взлома веб-сайтов. Злоумышленники используют несколько различных методов взлома: это SQL-инъекции (внедрение в запрос к базе данных сайта вредоносного SQL-кода), XSS (Cross-Site Scripting) – метод атаки, заключающийся в добавлении в страницу вредоносного сценария, который выполняется на компьютере при открытии этой страницы, и Local File Inclusion (LFI). Этот вид атаки позволяет злоумышленникам удаленно читать файлы на атакуемом сервере с помощью специальным образом сформированных команд. Среди подвергшихся атакам веб-сайтов замечены игровые серверы, форумы, а также ресурсы другой тематической направленности, в том числе российские.

Специалисты «Доктор Веб» продолжают следить за активностью ботнета Linux.ProxyM. График количества зафиксированных атак этого троянца представлен ниже.

Несмотря на то, что в Linux.ProxyM реализована всего лишь одна функция – прокси-сервер, – злоумышленники находят новые возможности его использования в своей противозаконной деятельности и проявляют все более настойчивый интерес к «Интернету вещей».

Подробнее о троянце

24 ноября 2017 года

Троянцы, предназначенные для хищения денег с банковских счетов, представляют серьезную угрозу. Обычно это довольно сложные многокомпонентные вредоносные программы, поэтому банковские троянцы появляются на свет нечасто. Вирусные аналитики компании «Доктор Веб» исследовали новую версию вредоносной программы, относящейся к широко известному семейству Trojan.Gozi.

Новый банковский троянец, получивший наименование Trojan.Gozi.64, основывается на исходном коде предшествующих версий Trojan.Gozi, который уже долгое время находится в свободном доступе. Как и другие представители этого семейства, Trojan.Gozi.64 может заражать компьютеры под управлением 32- и 64-разрядных версий Windows. Троянец имеет модульную архитектуру, но, в отличие от предыдущих модификаций, он полностью состоит из отдельных загружаемых плагинов. Также Trojan.Gozi.64 не имеет алгоритмов для генерации имен управляющих серверов — их адреса «зашиты» в его конфигурации, в то время как одна из первых версий Gozi использовала в качестве словаря текстовый файл, загружаемый с сервера NASA.

Создатели троянца заложили в него ограничение, благодаря которому он способен работать с операционными системами Microsoft Windows 7 и выше, в более ранних версиях Windows вредоносная программа не запускается. Дополнительные модули скачиваются с управляющего сервера специальной библиотекой-лоадером, при этом протокол обмена данными использует шифрование. Лоадер Trojan.Gozi.64 может выполнять на зараженной машине следующие вредоносные функции:

• проверка обновлений троянца;
• загрузка с удаленного сервера плагинов для браузеров, с помощью которых выполняются веб-инжекты;
• загрузка с удаленного сервера конфигурации веб-инжектов;
• получение персональных заданий, в том числе для загрузки дополнительных плагинов;
• удаленное управление компьютером.

Для осуществления веб-инжектов в каждом браузере Trojan.Gozi.64 использует собственный настраиваемый плагин. В настоящий момент вирусным аналитикам известны плагины для Microsoft Internet Explorer, Microsoft Edge, Google Chrome и Mozilla Firefox. Установив соответствующий модуль, троянец получает с управляющего сервера ZIP-архив с конфигурацией для выполнения веб-инжектов. В результате Trojan.Gozi.64 может встраивать в просматриваемые пользователем веб-страницы произвольное содержимое – например, поддельные формы авторизации на банковских сайтах и в системах банк-клиент. При этом, поскольку модификация веб-страниц происходит непосредственно на зараженном компьютере, URL такого сайта в адресной строке браузера остается корректным, что может ввести пользователя в заблуждение и усыпить его бдительность. Введенные в поддельную форму данные передаются злоумышленникам, в результате чего учетная запись жертвы троянца может быть скомпрометирована.

Помимо этого на зараженный компьютер могут быть загружены и установлены дополнительные модули – в частности, плагин, фиксирующий нажатие пользователем клавиш (кейлоггер), модуль для удаленного доступа к инфицированной машине (VNC), компонент SOCKS-proxy-сервера, плагин для хищения учетных данных из почтовых клиентов и некоторые другие.

Банковский троянец Trojan.Gozi.64 не представляет опасности для пользователей антивирусных продуктов Dr.Web, поскольку сигнатуры вредоносной программы и ее модулей добавлены в вирусные базы.

#банкер #банковский_троянец #онлайн-банкинг #троянец

22 ноября 2017 года

Сетевые мошенники придумывают все новые и новые способы обмана доверчивых интернет-пользователей. В течение прошлой недели киберпреступники активно рассылали по электронной почте спам с предложением получить несуществующие выплаты от страховых компаний и внебюджетных фондов. Специалисты компании «Доктор Веб» внимательно изучили эту мошенническую схему, параллельно выявив ряд сопутствующих угроз.

Отправляемые злоумышленниками письма гласили:

«Здравствуйте. Решил отправить Вам письмо, так как случайно узнал о Вашей затруднительной жизненной ситуации в финансовом плане. В свое время я испытывал аналогичные проблемы, но мне удалось их преодолеть, причем с помощью не самого очевидного способа. Неочевидность его заключается не в сложности (с этим-то как раз все наоборот, и сложного ничего там нет), а в том, что его трудно найти. Я запросто поделюсь им с Вами и ничего не утаю. Пользуйтесь, надеюсь, что у Вас все сложится так же хорошо, как и у меня. Мое решение найдете тут.
Всех вам благ!»

Ссылка в письме вела на сайт, якобы принадлежащий некоему «Межрегиональному общественному фонду развития». Ссылаясь на несуществующее постановление Правительства РФ №192н, этот «фонд развития непонятно чего» уверял посетителя сайта, что всем гражданам России и даже временно находящимся на ее территории иностранцам от частных страховых фондов положены выплаты, которые эти организации коварно скрывают от населения. Чтобы проверить, какая сумма причитается доверчивому гражданину, мошенники предлагают ввести в соответствующую форму номер пенсионного страхового свидетельства (СНИЛС) или паспорта.

Независимо от того, какие данные введет жертва (это может быть даже произвольная последовательность цифр), она получит сообщение о том, что ей положены страховые выплаты на достаточно крупную сумму — несколько сотен тысяч рублей.

Однако, чтобы вывести эти накопления, мошенники требуют оплатить «доступ к базам данных», причем по сравнению с обещанной выплатой сумма фигурирует небольшая. Если доверчивый посетитель сайта произведет оплату, никаких денег он, разумеется, не получит.

Представители Пенсионного фонда Российской Федерации уже заявляли в своем пресс-релизе о том, что подобные схемы являются мошенническими. «Пенсионный фонд призывает игнорировать подобные сайты и бережно относиться к своим персональным данным. Доверять информации о положенных пенсионных выплатах можно только в Личном кабинете на сайте Пенсионного фонда, приложении ПФР для смартфонов и на портале госуслуг», — говорится в заявлении организации. Напомним, что официальный сайт Пенсионного фонда расположен по адресу pfrf.ru.

Специалисты «Доктор Веб» обнаружили несколько работающих зеркал «Межрегионального общественного фонда развития», а также более десятка доменов, зарегистрированных авторами этой мошеннической схемы. Многие из этих доменов содержат аббревиатуру «snils». Вероятно, жулики планируют использовать указанные адреса для обмана пользователей в будущем. Кроме того, на серверах, где размещаются веб-страницы «Межрегионального общественного фонда развития», вирусные аналитики обнаружили множество других мошеннических проектов — от продажи сомнительных лекарственных препаратов до гадания на картах «Таро». В частности, среди подобных проектов был выявлен «сервис Royal Point», якобы гарантирующий участникам прибыль от продажи неких «Пойнтов», и сайт, предлагающий зарабатывать 100 000 рублей в день на продаже доменов с заканчивающимся сроком делегирования.

«На этой странице вы не найдете никаких лохотронов, фальшивых сайтов и прочей чепухи», — пишут сетевые жулики, хотя созданная ими веб-страница как раз и является самым настоящим «лохотроном», фальшивым сайтом и чепухой.

Еще один вид мошенничества, набравший в последнее время популярность, связан с шумихой вокруг криптовалют и технологии блокчейн. Киберпреступники предлагают пользователям «сдать в аренду мощности своего компьютера» для майнинга криптовалюты и заработать таким образом несколько биткойнов за пару минут. Разумеется, во всех перечисленных выше случаях за вывод «заработанных» денег жулики потребуют внести предварительную оплату, после чего жертва не получит обещанного вознаграждения.

Все обнаруженные специалистами «Доктор Веб» адреса мошеннических интернет-ресурсов добавлены в базы нерекомендуемых сайтов Родительского контроля Dr.Web, однако мы еще раз напоминаем пользователям: не стоит доверять сетевым мошенникам, обещающим вознаграждения от лица каких-либо общественных фондов и организаций, а также баснословные заработки без каких-либо усилий.

#криминал #мошенничество #нерекомендуемые_сайты #спам

20 ноября 2017 года

Специалисты компании «Доктор Веб» обнаружили новый Linux-бэкдор, что косвенно свидетельствует о неослабевающем интересе к операционным системам семейства Linux со стороны вирусописателей.

Троянец, получивший наименование Linux.BackDoor.Hook.1, был обнаружен вирусными аналитиками в библиотеке libz, которая используется некоторыми программами для функций сжатия и распаковки. Он работает только с бинарными файлами, обеспечивающими обмен данными по протоколу SSH. Весьма необычен способ подключения злоумышленников к бэкдору: в отличие от других похожих программ, Linux.BackDoor.Hook.1 вместо текущего открытого сокета использует первый открытый сокет из 1024, а остальные 1023 закрывает.

Бэкдор Linux.BackDoor.Hook.1 может скачивать заданные в поступившей от злоумышленников команде файлы, запускать приложения или подключаться к определенному удаленному узлу. Этот троянец не представляет опасности для наших пользователей – его сигнатура добавлена в базы Антивируса Dr.Web для Linux.

Подробнее о троянце

13 ноября 2017 года

Вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play несколько приложений, в которые был встроен троянец Android.RemoteCode.106.origin. Эта вредоносная программа незаметно открывает веб-сайты, переходит по расположенным на них рекламным ссылкам и баннерам, а также накручивает посещаемость интернет-ресурсов. Кроме того, она может использоваться для проведения фишинг-атак и кражи конфиденциальной информации.

Специалисты «Доктор Веб» выявили Android.RemoteCode.106.origin в 9 программах, которые в общей сложности загрузили от 2 370 000 до более чем 11 700 000 пользователей. Троянец был найден в следующих приложениях:

• Sweet Bakery Match 3 – Swap and Connect 3 Cakes версии 3.0;
• Bible Trivia версии 1.8;
• Bible Trivia – FREE версии 2.4;
• Fast Cleaner light версии 1.0;
• Make Money 1.9;
• Band Game: Piano, Guitar, Drum версии 1.47;
• Cartoon Racoon Match 3 - Robbery Gem Puzzle 2017 версии 1.0.2;
• Easy Backup & Restore версии 4.9.15;
• Learn to Sing версии 1.2.

Наши аналитики проинформировали компанию Google о наличии Android.RemoteCode.106.origin в обнаруженных приложениях. На момент публикации этого материала часть из них уже была обновлена, и троянец в них отсутствовал. Тем не менее, оставшиеся программы по-прежнему содержат вредоносный компонент и все еще представляют опасность.

Перед началом вредоносной активности Android.RemoteCode.106.origin выполняет ряд проверок. Если на зараженном мобильном устройстве отсутствует определенное количество фотографий, контактов в телефонной книге и записей о звонках в журнале вызовов, троянец никак себя не проявляет. В случае же выполнения заданных условий он отправляет запрос на управляющий сервер и пытается перейти по ссылке, полученной в ответном сообщении. В случае успеха Android.RemoteCode.106.origin задействует свой основной функционал.

Троянец загружает с управляющего сервера список модулей, которые ему необходимо запустить. Один из них был добавлен в вирусную базу Dr.Web как Android.Click.200.origin. Он автоматически открывает в браузере веб-сайт, адрес которого ему передает командный центр. Эта функция может использоваться для накрутки счетчика посещений интернет-ресурсов, а также проведения фишинг-атак, если троянец получит задание открыть мошенническую веб-страницу.

Второй троянский модуль, получивший имя Android.Click.199.origin, обеспечивает работу третьего компонента, внесенного в вирусную базу как Android.Click.201.origin. Основная задача Android.Click.199.origin – загрузка, запуск и обновление модуля Android.Click.201.origin.

Android.Click.201.origin, в свою очередь, после старта соединяется с управляющим сервером, от которого получает задания. В них указываются адреса веб-сайтов, которые троянец затем открывает в невидимом для пользователя окне WebView. После перехода по одному из целевых адресов Android.Click.201.origin самостоятельно нажимает на указанный в команде рекламный баннер или случайный элемент открытой страницы. Он повторяет эти действия до тех пор, пока не достигнет заданного числа нажатий.

Таким образом, основное предназначение троянца Android.RemoteCode.106.origin – загрузка и запуск дополнительных вредоносных модулей, которые используются для накрутки счетчика посещений веб-сайтов, а также перехода по рекламным объявлениям, за что злоумышленники получают вознаграждение. Кроме того, вредоносная программа может использоваться для проведения фишинг-атак и кражи конфиденциальной информации.

Антивирусные продукты Dr.Web для Android успешно детектируют все приложения, содержащие троянца Android.RemoteCode.106.origin, а также его вспомогательные модули, поэтому эти вредоносные программы опасности для наших пользователей не представляют. При обнаружении ПО, в которое встроен Android.RemoteCode.106.origin, владельцам Android-смартфонов и планшетов рекомендуется либо его удалить, либо проверить доступность обновленных версий без троянского функционала.

Подробнее о троянце

26 октября 2017 года

Троянец-шифровальщик Trojan.BadRabbit, которого в последние дни активно обсуждают многочисленные СМИ, сетевые издания и производители антивирусного ПО, начал распространяться 24 октября и вскоре (по сообщениям тех же СМИ) заразил множество компьютеров не только на территории России, но и в других странах. Компания «Доктор Веб» публикует предварительные результаты исследования этой вредоносной программы. В частности, "плохой кролик" проверял, не работают ли на компьютере продукты Dr.Web, и если обнаруживал связанные с ним процессы, пропускал первый этап шифрования, пытаясь избежать обнаружения. Также проверялось наличие продуктов McAffee.

Червь Trojan.BadRabbit состоит как минимум из трех компонентов: дроппера, червя-энкодера и шифровальщика дисков, способного также выполнять функции расшифровщика. После запуска дроппер, имеющиеся образцы которого представлены в виде исполняемого файла со значком установщика Adobe Flash, полностью загружается в память. Затем троянец сохраняет червя-энкодера в файл C:\Windows\infpub.dat и запускает его с помощью системной программы rundll32.exe, а собственный процесс завершает.

Троянец собирает информацию о зараженном компьютере, а также проверяет, не запущены ли на нем процессы двух антивирусных программ: Dr.Web и McAfee (в частности, его интересуют процессы с именами dwengine.exe, dwwatcher.exe, dwarkdaemon.exe, dwservice.exe, McTray.exe, mfevtps.exe и mcshield.exe). Если такие процессы обнаруживаются, BadRabbit пропускает первый этап шифрования, видимо, с целью избежать преждевременного обнаружения, однако пытается запустить полное шифрование диска после перезагрузки системы. Поскольку современные версии Антивируса Dr.Web не допускают возможности модификации загрузочной записи (MBR), попытка зашифровать диски не увенчается успехом. Таким образом, от действия Trojan.BadRabbit полностью защищены пользователи Антивируса Dr.Web версии 9.1 и выше и Dr.Web KATANA, при условии что они не меняли настройки превентивной защиты и не отключили ее.

Затем шифровальщик дисков проверяет аргументы своего процесса и, если он запущен без аргументов, работает как расшифровщик. Перед началом шифрования Trojan.BadRabbit выполняет ряд подготовительных действий, после чего создает в Планировщике заданий Windows задачу на перезагрузку компьютера через 3 минуты. Далее каждые 30 секунд троянец удаляет старое задание и создает новое, постоянно смещая время, когда должна выполниться задача. Вероятно, сделано это на случай, если пользователь компьютера удалит троянца до того, как шифрование дисков завершится.

Затем BadRabbit формирует пароль для шифрования дисков длиной в 32 символа, записывает информацию о компьютере в специальную структуру, шифрует ее публичным ключом и сохраняет в другой структуре, которая кодируется с использованием алгоритма Base64 и сохраняется в MBR. Алгоритм шифрования диска и загрузчик (бутлоадер) вирусописатели с небольшими изменениями позаимствовали из проекта с открытым исходным кодом Diskcryptor. Троянец ищет первый системный диск и устанавливает туда свой загрузчик. Впоследствии содержимое этого диска шифруется.

Часть кода BadRabbit позаимствована у троянца Trojan.Encoder.12544, также известного под именем NotPetya. При запуске энкодер проверяет наличие файла C:\Windows\cscc.dat и, если такой существует, прекращает свою работу (в связи с этим создание файла cscc.dat в папке C:\Windows может предотвратить вредоносные последствия запуска троянца). Запустившись из памяти зараженного компьютера, червь-энкодер при наличии соответствующих привилегий извлекает один из двух хранящихся в нем драйверов в зависимости от разрядности операционной системы. Эти драйверы позаимствованы из утилиты для шифрования файлов с открытым исходным кодом DiskCryptor.

Для запуска этих драйверов в процессе своей работы BadRabbit пытается зарегистрировать системную службу "cscc" с описанием "Windows Client Side Caching DDriver". Если зарегистрировать эту службу не удалось, он пытается запустить драйвер DiskCryptor с именем "cdfs" путем модификации системного реестра.

Как и Trojan.Encoder.12544, Trojan.BadRabbit использует утилиты Mimikatz для перехвата паролей открытых сессий в Windows. В зависимости от разрядности ОС он распаковывает соответствующую версию утилиты, сохраняет ее со случайным именем в папку C:\Windows, после чего запускает. Затем он ищет доступные на запись сетевые папки, пытается открыть их с использованием полученных учетных данных и сохранить там свою копию.

Выполнив все предварительные операции, троянец создает задание с именем "drogon" на перезагрузку компьютера. В процессе завершения сессии BadRabbit очищает системные журналы и удаляет ранее созданное задание. Энкодер шифрует файлы с расширениями .3ds, .7z, .accdb, .ai, .asm, .asp, .aspx, .avhd, .back, .bak, .bmp, .brw, .c, .cab, .cc, .cer, .cfg, .conf, .cpp, .crt, .cs, .ctl, .cxx, .dbf, .der, .dib, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .hpp, .hxx, .iso, .java, .jfif, .jpe, .jpeg, .jpg, .js, .kdbx, .key, .mail, .mdb, .msg, .nrg, .odc, .odf, .odg, .odi, .odm, .odp, .ods, .odt, .ora, .ost, .ova, .ovf, .p12, .p7b, .p7c, .pdf, .pem, .pfx, .php, .pmf, .png, .ppt, .pptx, .ps1, .pst, .pvi, .py, .pyc, .pyw, .qcow, .qcow2, .rar, .rb, .rtf, .scm, .sln, .sql, .tar, .tib, .tif, .tiff, .vb, .vbox, .vbs, .vcb, .vdi, .vfd, .vhd, .vhdx, .vmc, .vmdk, .vmsd, .vmtm, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xml, .xvd, .zip. В результате работы троянца на экране зараженного компьютера демонстрируется требование выкупа в криптовалюте Bitcoin, а на сайте злоумышленников в TOR жертве отводится для оплаты 48 часов, по истечении которых сумма выкупа будет увеличена.

В настоящее время исследование Trojan.BadRabbit продолжается. Технические подробности о работе этой вредоносной программы опубликованы в нашей вирусной базе знаний.

26 октября 2017 года

Bluetooth – один из самых распространенных протоколов связи и популярный канал передачи данных, используемый в мобильных телефонах, компьютерах, бытовой технике, электронике, детских игрушках, медицинских приборах и автомобилях. Bluetooth обеспечивает безопасное соединение, однако время от времени в нем обнаруживаются изъяны. Так, недавно была выявлена целая группа опасных уязвимостей, с помощью которых злоумышленники могут получить полный контроль над атакуемыми устройствами, выполнять на них произвольный код и красть конфиденциальную информацию. Аудитор безопасности в составе Dr.Web Security Space для Android проверяет, подвержены ли мобильные устройства этим уязвимостям, и своевременно информирует об этом пользователей.

Обнаруженные уязвимости и вектор атаки с их применением получили общее название BlueBorne. Исследователи выявили проблему в ключевых компонентах большинства современных операционных систем, в том числе Windows, iOS, а также Linux и основанных на его ядре платформ, таких как Tizen и Android.

BlueBorne включает следующие уязвимости:

• CVE-2017-0781, CVE-2017-0782 – уязвимости ОС Android, позволяющие запускать приложения с привилегиями системы;
• CVE-2017-0785 – уязвимость ОС Android, которая может привести к утечке и краже конфиденциальной информации;
• CVE-2017-0783 – уязвимость ОС Android, позволяющая проводить атаки типа «Человек посередине» (Man-in-The-Middle);
• CVE-2017-1000251 – уязвимость компонента ядра Linux, которая позволяет выполнять произвольный код;
• CVE-2017-1000250 – уязвимость компонента ядра Linux, которая может привести к краже конфиденциальной информации.

BlueBorne позволяет злоумышленникам дистанционно выполнять вредоносный код на целевых Android-устройствах с включенным передатчиком Bluetooth, отправляя специально сформированные пакеты данных. Атака происходит с привилегиями ядра ОС, а для ее проведения не требуется предварительное сопряжение устройств и включение режима видимости. Для успешной эксплуатации уязвимостей достаточно, чтобы на устройстве потенциальной жертвы был включен Bluetooth-адаптер, а атакующий находился в зоне действия радиосигнала передатчика.

Поскольку обеспечивающие работу Bluetooth процессы имеют высокие привилегии во всех ОС, эксплуатация выявленных уязвимостей способна дать практически полный контроль над объектом атаки. Уязвимости BlueBorne могут позволить злоумышленникам управлять устройствами, распространять между ними вредоносное ПО, получать доступ к хранящимся на них данным и подключенным сетям, а также выполнять атаки Man-in-The-Middle. Опасности подвержены все Android-смартфоны, планшеты и прочие устройства, на которых не установлено обновление безопасности от 9 сентября 2017 года, и устройства, не использующие Bluetooth только в режиме низкого потребления энергии (Bluetooth Low Energy).

Помимо проведения атак с применением BlueBorne напрямую злоумышленниками возможно появление использующих эти уязвимости вредоносных программ. Они смогут самостоятельно распространяться по каналам Bluetooth от одного устройства к другому подобно сетевым червям. Наибольшей опасности при этом подвергаются устройства, не получающие обновления безопасности от производителей прошивок или разработчиков ОС.

Входящий в комплект Dr.Web Security Space для Android Аудитор безопасности детектирует множество уязвимостей, которые могут присутствовать на Android-смартфонах и планшетах. Среди них – широко известные Extra Field, MasterKey, Heartbleed и ряд других. С выходом обновленной версии Аудитора к ним добавились уже описанная выше уязвимость BlueBorne, а также SIM Toolkit (CVE-2015-3843).

Ошибка SIM Toolkit в ОС Android позволяет злоумышленникам перехватывать и подделывать команды, отправляемые SIM-картой на мобильное устройство и обратно. Благодаря этому киберпреступники могут выполнять фишинговые атаки с использованием мошеннических окон и красть конфиденциальную информацию, такую как логины и пароли.

Для выявления BlueBorne на мобильных устройствах Аудитор безопасности Dr.Web проверяет наличие в системе обновления от Google и в случае его отсутствия предупреждает об угрозе. При обнаружении этой и других уязвимостей в системе рекомендуется установить все доступные обновления.

Подробнее об уязвимостях BlueBorne
Подробнее о других уязвимостях ОС Android

16 октября 2017 года

Бэкдорами принято называть вредоносные программы, способные выполнять поступающие от злоумышленников команды и предоставлять им возможность несанкционированного управления инфицированным устройством. Аналитики «Доктор Веб» исследовали новый бэкдор, особенность которого заключается в том, что он написан на языке Python.

Эта вредоносная программа была добавлена в вирусные базы Dr.Web под именем Python.BackDoor.33. Внутри файла троянца хранится запакованная утилита py2exe, которая позволяет запускать в Windows сценарии на языке Python как обычные исполняемые файлы. Основные функции вредоносной программы реализованы в файле mscore.pyc.

Python.BackDoor.33 сохраняет свою копию в одной из папок на диске, для обеспечения собственного запуска модифицирует системный реестр Windows и завершает выполнение сценария. Таким образом, основные вредоносные функции бэкдора выполняются после перезагрузки системы.

После перезагрузки троянец пытается заразить все подключенные к устройству накопители с именами от C до Z. Для этого он создает скрытую папку, сохраняет в ней копию своего исполняемого файла (также с атрибутом «скрытый»), после чего в корневой папке диска создает ссылку вида <имя тома>.lnk, которая ведет на вредоносный исполняемый файл. Все файлы, отличные от файла .lnk, VolumeInformation.exe и .vbs, он перемещает в созданную ранее скрытую папку.

Затем троянец пытается определить IP-адрес и доступный порт управляющего сервера, отправляя запрос к нескольким серверам в Интернете, включая pastebin.com, docs.google.com и notes.io. Полученное значение имеет следующий вид:

Если бэкдору удалось получить IP-адрес и порт, он отсылает на управляющий сервер специальный запрос. Если троянец получит на него ответ, он скачает с управляющего сервера и запустит на инфицированном устройстве сценарий на языке Python, добавленный в вирусные базы Dr.Web под именем Python.BackDoor.35. В этом сценарии реализованы функции кражи паролей (стилер), перехвата нажатия клавиш (кейлоггер) и удаленного выполнения команд (бэкдор). Кроме того, этот троянец умеет проверять подключенные к зараженному устройству носители информации и заражать их схожим образом. В частности, Python.BackDoor.35 позволяет злоумышленникам:

• красть информацию из браузеров Chrome, Opera, Yandex, Amigo, Torch, Spark;
• фиксировать нажатия клавиш и делать снимки экрана;
• загружать дополнительные модули на Python и исполнять их;
• скачивать файлы и сохранять их на носителе инфицированного устройства;
• получать содержимое заданной папки;
• перемещаться по папкам;
• запрашивать информацию о системе.

Помимо прочего, в структуре Python.BackDoor.35 предусмотрена функция самообновления, однако в настоящий момент она не задействована. Сигнатуры всех упомянутых выше вредоносных программ добавлены в вирусные базы Dr.Web и не представляют опасности для наших пользователей.

Подробнее о троянце

12 октября 2017 года

Компания «Доктор Веб» уже публиковала материал о различных забавных артефактах, продающихся в отечественных интернет-магазинах, вроде чудотворной нити от сглаза или устройства для экономии топлива в автомобиле на основе магнита и черной магии. Мы продолжаем изучать эту увлекательную тему и сегодня расскажем о любопытных новинках из индустрии интернет-торговли сомнительными товарами.

Технологии, как известно, не стоят на месте. Судя по содержанию спам-рекламы, красные нитки от сглаза в последнее время понемногу выходят из моды. Вместо них сетевые жулики теперь предлагают всем желающим приобрести чудесные монеты-амулеты, якобы приносящие богатство и удачу.

В описаниях этого волшебного товара прекрасно решительно все: от придуманной неведомыми копирайтерами истории про молодого русского царя, которому дьякон православного монастыря подарил чудодейственный заговоренный амулет (что есть безусловный признак самого настоящего колдовства, за которое в те времена награждали торжественной посадкой на кол при большом скоплении народа), до описания самого амулета. Передаем микрофон сетевым коммерсантам: «Амулет согласно ритуала изготавливается и привязывается на конкретного человека, на его Имя. Ритуал основан на силе молитвы и предков. Основой, из которой изготавливается талисман, и выполняется ритуал, является царская монета. Мы используем только настоящие монеты царских времён!». Судя по китайским иероглифам на аверсе этих самых «амулетов», настоящие царские монеты в древние времена закупались мелким оптом исключительно на «Али-экспрессе», откуда и поставлялись ко двору. Как уверяют жулики, чудодейственный амулет «притягивает позитивные денежные потоки» (и, вероятно, оттягивает негативные денежные потоки – прямо в карман сетевых мошенников), в результате чего владелец этой безделушки обязательно сможет найти высокооплачиваемую работу, вернуть долги, выиграть в лотерее, построить дом, посадить печень и вырастить чакры на затылке. Мы ничуть не сомневаемся, что покупка монеты-амулета может принести богатство. Причем исключительно тем, кто ее продает по цене в полтора десятка раз выше, чем в интернет-магазинах Поднебесной.

Как говорил один из персонажей популярного фантастического сериала, зима близко. А в холода, как известно, согревает борода. Поэтому второе место в нашем сегодняшнем рейтинге нелепых интернет-товаров по праву занимает не что-нибудь, а самая настоящая «сыворотка для роста бороды».

Продавцы этого чудодейственного эликсира утверждают, что красивая борода — это реально, приводя в качестве обезоруживающего доказательства этого утверждения слегка отфотошопленную стоковую фотографию мужика, напоминающего гибрид Деда Мороза с моджахедом. Полностью согласна с этим выводом и «Ольга Алексеева, парикмахер высшей категории», чей восторженный отзыв красуется на сайте сетевых коммерсантов, — видимо, она уже отрастила себе длинную и шелковистую бороду с помощью волшебного «эликсира» и сейчас успешно выступает в цирке. К сожалению, специалисты «Доктор Веб» пока еще не имели шанса оценить эффективность волшебной «сыворотки для роста бороды», но при первой же возможности обязательно испытают ее на специально подготовленном для этой цели сотруднике.

Народная молва гласит, что реклама обычно врет. Нам известен как минимум один пример правдивой рекламы — слоган «У вас все склеится!», используемый продавцами моментального клея. Суперклей и вправду склеивает абсолютно все: пальцы, волосы, одежду – но только не то, что планировалось изначально. Однако интернет-коммерсанты предлагают уникальный и современный способ решения этой проблемы: чудесный суперклей по цене сварочного аппарата!

Волшебный моментальный клей, изготовленный, судя по стоимости, из смеси золота и платины, обладает удивительными свойствами: он затвердевает за 5 секунд, а также работает с различными материалами вроде пластика, дерева и стекла. То есть умеет все то же самое, что и обычный клей за 20 рублей, но в 100 раз дороже. Трудно сказать, пользуется ли это уникальное предложение спросом, но повеселило оно нас от души.

Среди прочих забавных предметов, активно рекламируемых в последнее время спамерами, нельзя не отметить замечательное изделие с таинственным названием «мультирезка». Нет, это не помесь мультиварки со стеклорезкой, а удивительное многофункциональное устройство, имеющее ручку от бритвы, лезвие от терки и цену от самолета.

«За доступную цену вы получаете приспособление для нарезания продуктов», — сообщают интернет-торговцы всем, кто ни разу в жизни не держал в руках кухонного ножа. Действительно, нарезание продуктов — это высокотехнологичный процесс, с которым может справиться только специалист с высшим кулинарным образованием и исключительно при помощи особого сертифицированного «приспособления». Но самое главное — «мультирезка» настолько универсальна, что ее можно мыть даже — даже! — в посудомоечной машине. Подумать только! Представляете? Правда, инструкции к современным посудомоечным машинам гласят, что в них можно мыть любые кухонные и столовые приборы. Один наш сотрудник как-то раз даже случайно вымыл в посудомойке свой айфон, и для машины это вовсе не закончилось чем-то ужасным. В отличие от айфона. Так что «мультирезку» мы пока заказывать не планируем — подождем, когда технологии достигнут такого уровня, что ее можно будет мыть мочалкой под обычным водопроводным краном.

Ну а в завершение этой статьи нам хотелось бы еще раз напомнить читателям, что к публикуемым на всевозможных торговых площадках сомнительным предложениям следует относиться с определенной долей скепсиса и здорового юмора. А мы, в свою очередь, продолжим добавлять ссылки на сайты сетевых «торговцев чудесами» в списки нежелательных для посещения ресурсов.

12 сентября 2017 года

Количество вредоносных программ, способных заражать «умные» устройства под управлением ОС Linux, непрерывно растет. Значительная их часть предназначена для DDoS-атак и обеспечения анонимности в сети. Как показало проведенное специалистами «Доктор Веб» исследование, киберпреступники используют таких Linux-троянцев для массовых почтовых рассылок.

Речь идет о вредоносной программе Linux.ProxyM, о которой мы уже рассказывали в июне. Напомним, что этот троянец запускает на инфицированном устройстве SOCKS-прокси-сервер и способен детектировать ханипоты (от англ. honeypot — «горшочек с медом») — специальные ресурсы, созданные исследователями вредоносных программ в качестве приманки для злоумышленников. Соединившись со своим управляющим сервером и получив от него подтверждение, Linux.ProxyM загружает с этого сервера адреса двух интернет-узлов: с первого он получает список логинов и паролей, а второй необходим для работы SOCKS-прокси-сервера. Существуют сборки этого троянца для устройств с архитектурой x86, MIPS, MIPSEL, PowerPC, ARM, Superh, Motorola 68000 и SPARC. Иными словами, Linux.ProxyM может работать практически на любом устройстве под управлением Linux, включая роутеры, телевизионные приставки и другое оборудование.

Вирусные аналитики «Доктор Веб» выяснили, что с использованием Linux.ProxyM злоумышленники рассылают спам. С управляющего сервера на зараженное устройство поступает команда, содержащая адрес SMTP-сервера, логин и пароль для доступа к нему, список почтовых адресов и сам шаблон сообщения. В письмах рекламируются различные сайты категории «для взрослых». Типичное сообщение электронной почты, отправляемое с использованием зараженных Linux.ProxyM устройств, имеет следующее содержание:

Subject: Kendra asked if you like hipster girls

A new girl is waiting to meet you.
And she is a hottie!
Go here to see if you want to date this hottie
(Copy and paste the link to your browser)
http://whi*******today.com/
check out sexy dating profiles
There are a LOT of hotties waiting to meet you if we are being honest!

Согласно статистике, имеющейся в распоряжении компании «Доктор Веб», в среднем в течение суток каждое зараженное Linux.ProxyM устройство рассылает порядка 400 писем. График зафиксированного нашими специалистами количества атак троянца Linux.ProxyM представлен ниже.

Количество уникальных IP-адресов зараженных устройств показано на следующей диаграмме. Следует отметить, что иллюстрация показывает только число наблюдаемых аналитиками «Доктор Веб» ботов, реальное же количество инфицированных устройств может быть больше.

Распределение источников атак с использованием Linux.ProxyM по географическому признаку за минувшие 30 дней показано на следующей иллюстрации:

Можно предположить, что ассортимент реализуемых Linux-троянцами функций будет расширяться и в дальнейшем. «Интернет вещей» уже давно находится в фокусе интересов вирусописателей, о чем свидетельствует широкое распространение вредоносных программ для Linux, способных заражать устройства с различной аппаратной архитектурой.